シスコ、セキュア クライアント ソフトウェア内で発見された重大度の高いセキュリティ上の欠陥を修正することを目的としたパッチを発表. この脆弱性, CVE-2024-20337 として識別される, 重大なリスクをもたらす, 悪意のある攻撃者がそれを不正に悪用できるようにする VPNセッションへのアクセス 対象ユーザーの.
CVE-2024-20337 の詳細
CVSS スコアで評価されています。 8.2, 欠陥は復帰改行を中心に展開しています (CRLF) インジェクション攻撃, リモート攻撃者がユーザーセッションを操作して有害な結果をもたらすことを許可する. この脆弱性は、ユーザーが提供した入力の検証が不十分であることに起因します。, 攻撃者が特別に作成されたリンクを展開して、VPN 接続の確立中にユーザーをだまして無意識のうちにエクスプロイトをトリガーできるようにする.
攻撃が成功した場合の影響は悲惨です, 攻撃者に、被害者のブラウザ環境内で任意のスクリプト コードを実行したり、機密情報にアクセスしたりする権限を与える, 有効なセキュリティ アサーション マークアップ言語を含む (SAML) トークン. このようなトークンを装備, 攻撃者は、認証されたユーザーを装ってリモート アクセス VPN セッションを開始できる, 内部ネットワークに侵入し、機密データが侵害される可能性があります. この重大な欠陥は、複数のプラットフォームにわたるセキュア クライアント ソフトウェアに影響を与えます。, Windowsを含む, Linux, およびmacOS.
シスコはこの脅威に迅速に対応しました, リスクを効果的に軽減するために、さまざまなソフトウェア バージョンにパッチを展開する. 以前のバージョン 4.10.04065 脆弱性がないとみなされる, 一方、後続のリリースでは脆弱性に対処するために強化されています。.
CVE-2024-20338 もパッチ適用済み
加えて, 同社は別の重大度の高い欠陥を解決するための措置を講じました, CVE-2024-20338として示されます, Secure Client for Linux に影響を与える. この脆弱性, CVSSスコアが 7.3, ローカルの攻撃者が侵害されたデバイスの権限を昇格できる可能性があります, 重大なセキュリティ上の懸念を引き起こす.
シスコは、Amazon のセキュリティ研究者である Paulos Yibelo Mesfin が脆弱性を特定し報告したことを認めています。. メスフィン氏は、発見された欠陥により、攻撃者がローカルの内部ネットワークにアクセスできるようになる可能性があると述べた。, 脅威の深刻さをさらに強調.
シスコはユーザーに対し、潜在的な悪用からシステムを保護するために、必要なパッチとアップデートを速やかに適用するよう促しています。.